Acasă » AVOCATURA » Cum amenință Google, Facebook, Yahoo secretul profesional al avocaților. Li se duc dosarele ”în nori”?
Avocata Ioana Stanca, decanul Baroului Cluj, Mircea Pop, și șefa INPPA Cluj, Gidro Stanca
Avocata Ioana Stanca, decanul Baroului Cluj, Mircea Pop, și șefa INPPA Cluj, Gidro Stanca

Cum amenință Google, Facebook, Yahoo secretul profesional al avocaților. Li se duc dosarele ”în nori”?

Secretul profesional al avocaților este amenințat de rețelele de socializare și alte medii de stocare de date de tip ”nor” (cloud) în corelare cu Codul de Procedură Penală, a fost concluzia unei dezbateri interesante organizate de INPPA și Baroul Cluj cu ocazia Zilei Europeane a Avocaților, sărbătorită începând cu acest an în 10 decembrie. Participanții la dezbatere ar putea sesiza Curtea Constituțională cu privire la articole  din Codul de Procedură Penală ce privesc supravegherea avocaților și stocarea de date.

avocati la sediul nou barou cluj (2)

Ziua Europeană a Avocaților a fost aleasă de Consiliul Barourilor din Europa (CCBE) data de  10 decembrie deoarece în aceeși zi a fost adoptată Declarația Universală a Drepturilor Omului, iar doi ani mai târziu în 1950, Adunarea Generală a ONU a declarat-o Ziua Drepturilor Omului.

Ioana Gidro Stanca
Ioana Gidro Stanca

CCBE a propus ca temă de discuție ”supravegherea guvernamentală globală și confidențialiatea avocat-client”. De ce această temă? Răspunsul vine de la directorul Centrului Teritorial Cluj al Institutului Național pentru Pregătirea și Perfecționarea Avocaților (INPPA), avocat Gidro Stanca:  ”Pentru că s-a constatat că secretul profesional al avocatului este amenințat de o posibilă supraveghere oarbă și cu o întindere de nebănuit. Pe vremuri, informația pe care o luai de client sau informațiile pe care le schimba clinetul cu avocatul erau păstrate sub cheie în biroul avocatului. Acum, datorită științei tot mai avansate și a modului în care s-au rostogolit peste noi sistemele de comunicare electronice, aceste schimburi de informații au loc pe această cale și ele se arhivează. N-am găsit în română termen, se arhivează ”în nori”, cum ar veni. Termenul uzitat peste tot este de ”cloud computing”. Aceste date pot să fie clar interceptate peste tot în lume. Din păcate nu numai agențiile de securitate, care ar fi normal să aibă acces la astfel de informații în anumite condiții, ci oricine ajunge să aibă acces. Lumea electronică trebuie să se bucure de aceeași protecție ca și cea a hârtiilor”, a spus Gidro Stanca. Aceasta a exemplificat directivele europene în domeniu:

Directiva 95/46 este textul de referință la nivel european în materia protecției datelor cu caracter personal. Directiva spune că orice persoană trebuie să aibă o cale de atac în Justiție atunci când drepturile garantate prin această directivă, care trebuie să fie implementate prin norme interne, sunt încălcate.

Directiva 2002/58 privind prelucrarea datelor personale și protejarea cofidențialității în sectorul comunicațiilor publice.

Directiva  2006/24, numită ”big -brother”, care  a fost invalidată.  ”Foarte rar sunt invalidate astfel de directive ale Uniunii Europene. Argumentul a fost că încălca drepturile omului”, a explicat directorul INPPA Cluj.

De asemenea, trebuie ținut cont de dreptul de a fi uitat, conferit de Curtea de Justiție a Uniunii Europene (CJUE) într-o dispută în care a fost implicat gigantul Google. Acesta a fost obligat printr-o hotărâre a CJUE să șteargă anumite date la cererea unor persoane. Un cetățean spaniol a formulat în 2010 o acțiune în Justiție prin care a solicitat Google Spania și Google să procedeze la eliminarea anumitor linkuri care erau generate în momentul în care se căuta numele său. Linkul ducea la un articol privitor la o licitație publică din 1998 care avea ca obiect un bun imobil deținut de reclamant. Argumentul principal imvocat a fost că respectiva situație fusese clarificată și închisă de mult timp nemaifiind necesar a exista această informație și nemaiavând nicio relevanță în momentul în care se căuta. Autoritatea Spaniolă de Protecție a Datelor i-a dat dreptate și a obligat Google să șteargă acel link. Google a atacat decizia autorității la CJUE. Aceasta a decis că motoarele de căutare trebuie să respecte directiva 95/46.

”Aceasta însemană că motoarele de căutare sunt obligate să elimine anumite pagini de internet rezultate ca urmăre a căutării unor cuvinte cheie. Această hotărâre a creat o serie de probleme practice. Curtea a decis că anumite rezultate pot să fie eliminate, motivul fiind interesul individual cu privire la viața privată a persoanei, care poate să fie superior interesului public. Sigur că interpretarea nu este absolută și în fiecare situație concretă se poate discuta. Căci dacă ar fi o normă absolută s-ar putea goli de conținut toate posibilele căutări prin acest sistem. ”, a explicat Gidro Stanca.

Potrivit CJUE, ”dreptul de a fi uitat intervine doar în măsura în care respectiva informație este inadecvată, irelevantă sau mai puțin relevantă, ori devine excesivă în comparație cu scopul pentru care a fost procesată și în lumina timpului care s-a scurs”.

După decizia CJUE, Google a pus la dispoziția utilizatorilor europeni un formular unde pot solicita eliminarea unor linkuri ce-i privesc.

”CCBE ne spune că dacă legislația națională nu răspunde principiilor proporționalității menționate în hotărârea CJUE să luăm următoarele măsuri: să identifice strategiile care permit o schimbare în legislația națională, să facă publice dosarele în care clienții și avocații sunt vizați negativ prin lipsa aplicării principiului proporționalității, să aducă la cunoștința organelor guvernamentale responsabile de protecția datelor toate situațiile, să facă propuneri de modificare a legislației, să menționeze decizia CJUE unde e cazul și să informeze CCBE de starea în care se află punerea în aplicare a directivei. Baroul Cluj poate sesiza UNBR pentru a contribui la raportul pe țara noastră.”, a spus avocata Gidro Stanca.

Noțiunea de ”cloud computing” a fost explicată de avocata Ioana Stanca: ”Cloud computing înseamnă orice cont de mail, Gmail, Yahoo, orice rețea socială, Facebook, Twitter, orice fel de nor în care sunt stocate aceste informații pe care noi le punem acolo, dar ele nu sunt stocate pe serverele noastre. Cloud poate fi spațiu public, cum e Facebook, dar și privat. Tot mai multe companii private multinaționale utilizează cloud computing pentru formarea propriului nor  de informații, astfel încât să nu aibă fiecare angajat un server propriu”.

Ioana Stanca
Ioana Stanca

Orice mail ar putea pune în pericol secretul profesional al avocaților.  ”În contextul în care noi avem obligația de a păstra informați și secretul profesional al datelor clienților noștri, ori de câte ori scriem un mail către un client înseamnă că aceste informații se duc în nor și sunt acolo. Deci ies de la noi și se duc acolo. Prin urmare se pune problema cum putem noi, în condițiile în care legislația privind securizarea acestor date fie că sunt cu caracter personal fie cu caracter profesional, să de îndeplinim obligația de confidențialitate atâta timp cât nu există niciun fel de siguranță? Legislația e deficitară în a asigura securizarea lor. Adică nu știm dacă într-adevăr nu sunt folosite, transmise mai departe, folosite în alte scopuri și așa mai departe. Vorbind cu un prieten care este informatician mi-a explicat că,  chiar dacă există o legislație europeană care interzice să fie folosite oricând de oricine, noi de fiecare dată când ne creem un cont nou pe o rețea de socializare sau alt cont ni se trimite un contract standard pe care de obicei nu-l citim pentru că e de necitit. Dăm de acord pur și simplu. Suntem de acord cu el. Acelea sunt ca în cazul contractelor bancare sau de la telefonie niște contracte de adeziune, de tipul ”îți convine ce scrie, nu-ți convine megi în altă parte” și care se caracterizează printr-o grămadă de clauze prin care ei își declină răspunderea asupra securității datelor.

De exemplu, în temeiul legislației nu au voie să folosească datele cu caracter personal, dar nicio lege nu interzice folosirea lor în scopul unor statistici. Adică oricine poate să ia datele să le pune într-o statistică, fie că sunt personale sau profesionale. Din statistică pot fi accesate de cineva interesat de persoana ta. Prin urmare, problema e că nu avem nici la nivel de legislație națională și nici în concret posibilitatea de a negocia sau de a inteerveni în vreun fel în clauzele contractuale prin care noi accesăm aceste servicii și prin care datele noastre intră într-un cloud. Comisia Europeană spune același lucru: utilizarea contractelor standard îi permite utilizatorului să facă economii însă adesea utilizatorul final găsește condițiile ca fiind inacceptabile. Chiar și companiile mai mari, nu simplu utilizatori, nu au mai mare putere de negociere și deseori contractele nu prevăd răspunderea pentru integritatea sau confidențialitatea datelor. Va trebui cu toții la nivelul legislației naționale și poate în concret la nivelul regiunilor să găsim o formulă prin care să se realizeze niște clauze contractuale standard încât aceste contracte să-și piardă și ele caracterul lor de adeziune și noi să avem un cuvânt de spus în folosirea datelor noastre, fie că sunt cu caracter personal sau profesional. În acest sens sunt și recomandările Comisiei Europene până în 2020 și să sperăm că până atunci ceva se va întâmpla în acest sens.”, a spus avocata Ioana Stanca.

Diana Andrașoni
Diana Andrașoni

Mai vehementă a fost avocata Diana Andrașoni:  ”Protecția datelor este absolut iluzorie atunci când ne referim la mijloace de comunicare gen e-mail! De aceea de cele mai multe ori, relația client-avocat, în mod foarte demodat, se derulează fie pe bază de scrisoare de mână, fie pe bază de skype, conversație directă, nefiind exclusă o violare a secretului profesional nici în acest fel. De aceea, de multe ori avocații se urcă în primul avion și străbat o jumătate de lume pentru a discuta 5 minute în privat.

Problema care se pune atât la nivel european, cât și la nivel mondial, este legată de scurgerile de informații, de atacurile pe internet și dezvoltarea excesivă a rețelelor de socializare, precum și a tuturor sistemelor de cloud computing, inclusiv cele organizate profesional de care ne servim zilnic în profesie. Nefiind doar problema că am accesa un Google, un mail gratuit, e vorba de accesul de oriunde la o bază de date în care ai lucrat documente în word, excel, care afectează de fapt siguranța clienților noștri, având aici o dublă responsabilitate atât prin confidențialitatea datelor avocat-client, cât și a noastră ca păstrători ai informației puse la dispoziție de către acesta. Vânzarea bazelor de date e un fenomen de masă, ceea ce înseamnă că protecția există la nivel declarativ.”, este de părere Andrașoni.

În România există legea 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date și legea 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.

”Am sesizat o incongruență a legii. În primul rând e vorba de excepții, sancțiuni și competențe. Exceptate sunt persoanele fizice care colectează și procesează date cu caracter personal exclusiv pentru uzul lor personal. Dacă datele în cauză nu sunt destinate pentru a fi dezvăluite” Păi nu sunt destinate când le-ai colectat dar dacă sunt dezvăluite ulterior. Nu văd interesul unei persoane de a colecta pentru uz personal astfel de date dacă nu pentru valorificare. Nefiind protejate acest tip de date pot ajunge în posesia oricui și pot fi folosite oricum, generând preudicii bombardare e-mail. Unii au crezut în aceste mailuri oferte mincinoase. Sau că a trimis bani nu știu cui și alte minuni. E plin Tribunalul zilnic de ele. Aceste minuni au ieșit prin vânzarea de baze de date. Ori asemenea vânzări nu sunt direct de la o companie la alta. Totdeauna trec prin intermediar persoană fizică care scapă prevederilor acestor legi, nefiind reglementat domeniul. De asemenea, bazele de date pot crea profilul cuiva care să fie utilizat la infracțiuni”, a precizat Diana Andrașoni.

Avocata consideră că este o problemă în ce privește competența: ”Cum spunea Caragiale, ”vrei să omori rezolvarea unei probleme, fă un comitet și o comiție”. Cam așa ceva avem în cele două legi enunțate. Două competențe care se calcă picior peste picior ANRC și Avocatul Poporului. Orice sesizare ai face mâța moartă se aruncă dintr-o parte în alta. ” Sesizarea trebuie la 15 zile de la prelucrarea datelor, dar de unde știm cine ne-a prelucrat datele? E o încălcare a dreptului la Justiție. Avem două instituții responsabile, niciuna specializată. Va trebui să facem ceva în acest sens”

Vlad Mudure
Vlad Mudure

Avocatul penalist Vlad Mudure a vorbit despre confidențialitatea client-avocat din perspectiva laturii penale. Mai exact cum e văzută din perspectiva codului de procedură penală care reglementează supravegherea tehnică.

Statutul profesiei de avocat  și legea 51/1995 privind exercitarea profesiei de avocat cuprind reglementări cu privire la interdicția înregistrării convorbirilor dintre avocat și clientul său.

Art. 35 din Legea 51/1995
(1) Pentru asigurarea secretului profesional, actele si lucrarile cu caracter profesional aflate asupra avocatului sau in cabinetul sau sunt inviolabile. Perchezitionarea avocatului, a domiciliului ori a cabinetului sau sau ridicarea de inscrisuri si bunuri nu poate fi facuta decat de procuror, in baza unui mandat emis in conditiile legii.
(2) Nu vor putea fi ascultate si inregistrate, cu niciun fel de mijloace tehnice, convorbirile telefonice ale avocatului si nici nu va putea fi interceptata si inregistrata corespondenta sa cu caracter profesional, decat in conditiile si cu procedura prevazute de lege.

”Ce vine după virgulă se circumscrie condițiilor legii impuse de codul de procedură penală (CPP), care la articolul 138 și următoarele reglementează această procedură a supravegherii tehnice. Sunt serie de definiții, cazurile și modalitățile de supraveghere.”, a comentat Mudure.

Art. 138 CPP
(1) – Constituie metode speciale de supraveghere sau cercetare următoarele:
a. interceptarea comunicațiilor ori a oricărui tip de comunicare la distanță;
b. accesul la un sistem informatic;
c. supravegherea video, audio sau prin fotografiere;
d. localizarea sau urmărirea prin mijloace tehnice;
e. obținerea datelor privind tranzacțiile financiare ale unei persoane;
f. reținerea, predarea sau percheziționarea trimiterilor poștale;
g. utilizarea investigatorilor sub acoperire și a colaboratorilor;
h. participarea autorizată la anumite activități;
i. livrarea supravegheată;
j. obținerea datelor generate sau prelucrate de către furnizorii de rețele publice de comunicații electronice ori furnizorii de servicii de comunicații electronice destinate publicului, altele decât conținutul comunicațiilor, reținute de către aceștia în temeiul legii speciale privind reținerea datelor generate sau prelucrate de furnizorii de rețele publice de comunicații electronice și de furnizorii de servicii de comunicații electronice destinate publicului.

”Toate chestiunile se încadrează aici la ultima literă inclusiv Facebook, Skype, Twitter sau orice alte rețele de socializare care mai sunt. ”, a spus Vlad Mudure. Acesta a adus în atenție articolul 139 din CPP care aparent instituie garanții ca cele din legea profesiei și statu.

Articolul 139 CPP

aliniatul (4) – Raportul dintre avocat și persoana pe care o asistă sau o reprezintă nu poate forma obiectul supravegherii tehnice decât dacă există date că avocatul săvârșește ori pregătește săvârșirea unei infracțiuni dintre cele  prevăzute la alin. (2). Dacă pe parcursul sau după executarea măsurii rezultă că activitățile de supraveghere tehnică au vizat și raporturile dintre avocat și suspectul ori inculpatul pe care acesta îl apără, probele obținute nu pot fi folosite în cadrul niciunui proces penal, urmând a fi distruse, de îndată, de către procuror. Judecătorul care a dispus măsura este informat, de îndată, de către procuror. Atunci când apreciază necesar, judecătorul dispune informarea avocatului.

aliniatul (2) – Supravegherea tehnică se poate dispune în cazul infracțiunilor contra securității naționale prevăzute de Codul penal și de legi speciale, precum și în cazul infracțiunilor de trafic de droguri, de trafic de arme, de trafic de persoane, acte de terorism, de spălare a banilor, de falsificare de monede ori alte valori, de falsificare de instrumente de plată electronică, contra patrimoniului, de șantaj, de viol, de lipsire de libertate, de evaziune fiscală, în cazul infracțiunilor de corupție și al infracțiunilor asimilate infracțiunilor de corupție, infracțiunilor împotriva intereselor financiare ale Uniunii Europene, al infracțiunilor care se săvârșesc prin sisteme informatice sau mijloace de comunicații electronice ori în cazul altor infracțiuni pentru care legea prevede pedeapsa închisorii de 5 ani sau mai mare

”Aici eu pun problema previzibilității pentru că practic ni le include pe aproape toate din Codul Penal sau legi speciale. Sunt puține care sunt sacționate sub 5 ani. Majoritatea au limite 1-5 ani. În această situație a fost și Statul Moldovean, pe care CEDO l-a sancționat prin hotărârea Iordachi și alții contra Moldovei din 10 februarie 2009, reținând că sfera este extrem de largă. Practic simpla existență a reglementărilor privind supravegherea tehncă ar putea duce la abuzuri datorate faptului că reglementarea nu e suficient de clară. Nu prevede o procedură concretă, doar generală așa cum, după opinia mea, prevede și procedura noastră penală.”, a susținut avocatul Mudure.

Acesta a sesizat și o chestiune de contradicție:. ”Aliniatul 4 de la 139 spune că ”raportul dintre avocat și persoana pe care o asistă sau o reprezintă nu poate forma obiectul supravegherii tehnice decât dacă există”, dar de unde să existe aceste date? Datele ca urmare a unei interceptări dinainte sau date dintr-o altă surse exterioară interceptărilor. Dacă mă duc la articolul 147 aliniatul 2 ”este interzisă reținerea, predarea și percheziționarea corespondenței sau a trimiterilor poștale”, la fel apare condiția să existe date cu privire la pregătirea unei infracțiuni de către avocat.

Art 147 (2) – Este interzisă reținerea, predarea și percheziționarea corespondenței sau a trimiterilor poștale trimise ori primite în raporturile dintre avocat și suspectul, inculpatul sau orice altă persoană pe care acesta o apără, cu excepția situațiilor în care există date că avocatul săvârșește sau pregătește săvârșirea unei infracțiuni dintre cele prevăzute la art. 139 alin. (2).

”Prin prisma celor două reglementări, mie, după cum sună textul de lege, acele date ar trebui să fie exterioare. Nu pot face raportul supravegherii tehnice. În această situație ce ar presupune? Să existe tot timpul o suspiciune asupra avocatului? Să existe de undeva niște date sau să zică clientul că s-a înțeles nu știu ce cu avocatul. Aici vine din nou CEDO care zice ”confidențialitatea avocatului trebuie să prevaleze în fața unei eventualități. Aceste raporturi între avocat și client trebuie să prevaleze în fața unei eventualități.

Din ce-mi dau seama din aceste prevederi legale, suntem destul de expuși. Și suntem destul de expuși dacă merg la teza a doua a aliniatului 4 din cod care zice”dacă pe parcursul sau după executarea măsurii rezultă că activitățile de supraveghere tehnică au vizat și raporturile dintre avocat și suspectul ori inculpatul pe care acesta îl apără, probele obținute nu pot fi folosite în cadrul niciunui proces penal, urmând a fi distruse, de îndată, de către procuror”. Deci mai întâi se interceptează, dar omul când vine la mine poate nu e inculpat sau suspect. Poate e doar o persoană bănuită într-un dosar penal. Încă nu s-a început urmărirea penală ca să fie suspect și nu s-a pus în mișcare acțiunea penală ca să fie inculpat. Aici vine în contradicție cu ce am zis mai înainte că nu poate forma obiectul supravegherii tehnice. Iată că poate!. Fără să știm. Nici măcar avocatul nu este informat despre asta, decât atunci când judecătorul consideră că e necesar.

Textul de lege mai spune că ”judecătorul care a dispus măsura este informat, de îndată, de către procuror. Atunci când apreciază necesar, judecătorul dispune informarea avocatului.” Aici clar se lasă mână largă judecătorului și organului judiciar de a dispune sau nu informarea avocatului. Cât e de previzibilă legea asta? Cum putem să apreciem când apreciază că e necesar judecătorul și când nu. E la liberul lui arbitru. Această situație cred că e una prejudiciabilă prin prisma raporturilor pe care le are avocatul cu clinetul lui și prin prisma că este abatere disciplinară gravă dacă nu păstrăm secretul profesional și nu păstrăm confidențialitatea datelor furnizate de către client. Eu spun că și clientului îi este prejudiciat dreptul la apărare în momentul în care nu poți să discuți exclusiv privat cu clientul tău. Dacă ești la distanță, nu te poți întâlni în fiecare zi să discuți. Cred că este o situație extrem de periculoasă și de contrară mai ales Statutului profesiei de avocat care spune la articolul 10 că  ”Orice comunicare sau corespondenţă profesională între avocaţi, între avocat şi client, între avocat şi organele profesiei, indiferent de forma în care a fost făcută, este confidenţială”. Nu lasă loc de interpretări, virgule și alte chestiuni. Cred că prevederile din cod trebuie corelate cu dispozițiile interne și cu cele europene.  Eu întrevăd o discuție de constituționalitate pe textele acestea de lege, dacă tot e la modă mai nou o grămadă de excepții de neconstituționalitate.” este de părere avocatul Vlad Mudure.

Acesta a ridicat și problema stocării datelor, prevăzută în Codul de Procedură Penală.

Art. 154 alin. (1) – Dacă există o suspiciune rezonabilă cu privire la pregătirea sau săvârșirea unei infracțiuni, în scopul strângerii de probe ori identificării făptuitorului, suspectului sau a inculpatului, procurorul care supraveghează sau efectuează urmărirea penală poate dispune conservarea imediată a anumitor date informatice, inclusiv a datelor referitoare la traficul informațional, care au fost stocate prin intermediul unui sistem informatic.

”Problema stocării datelor am avut-o în legea 298/2008, care a fost transpunerea celebrei directive europene 24 din 2006, declarată neconstituțională în octombrie 2009 prin decizia Curții Constituționale. Dar se pare că textul de lege face referire totuși la aceste date stocate prin intermediul unui sistem informatic. Cert este că prevederea legală îi conferă exclusiv procurorului posibilitatea de a solicita furnizorului de date să stocheze pentru o perioadă de maxim 60 de zile, care poate fi prelungită o dată cu 30 de zile, și să solicite conservarea datelor informatice dacă există suspiciune rezonabilă că cineva săvârșește o infracțiune. Ceea ce este periculos aici este că este apanajul exclusiv al procurorului, fără autorizarea judecătorului, a unui observator imparțial și obiectiv, chiar dacă e vorba de o conservare a datelor și nu de transmiterea lor mai departe. Vom vedea în aliniatul 6 că procurorul, după conservarea datelor, dacă există elemente esențiale pentru cauza pe care o are de soluționat îi solicită judecătorului autorizare pentru transmiterea acelor date. Această problemă vine în contradicție cu rațiunea reglementării interceptărilor și înregistrărilor convorbirilor, care se poate face, așa cum știm, doar de la momentul obținerii autorizației de la judecător, de atunci se interceptează convorbirile. Ori aici suntem într-o situație în care se folosesc convorbiri din trecut pe o autorizație a judecătorului. Nu știu cât este de corect și de just acest aspect prin considerarea protecției vieții private și a dreptului la liberă exprimare și prin considerarea tuturor garanțiilor oferite de CEDO. Nu e firesc să se folosească informații anterioare autorizării unui judecător la apanajul exclusiv al procurorului. Și aici avocatul nu apare. Relația client-avocat nu e protejată în niciun fel.”, a concluzionat avocatul.

Mudure și Gidro Stanca au propus începerea demersurilor pentru redactarea unui proiect de sesizare a Curții Constituționale, care ar urma să fie înaintat către Uniunea Națională a Barourilor din România, care poate sesiza CC.

Comments

comentarii

Lasă un răspuns